Компьютерные вирусы, история создания вирусов

Для организации полноценной и эффективной работы локальной компьютерной сети, необходимо, чтобы компьютеры в ней:

                    Имели возможность обмениваться информацией между собой с помощью сетевых технологий (то есть не только мобильных носителей)

                    Могли хранить и обрабатывать информацию на выделенных сетевых серверах, если это требуется в работе

                    Получать и отправлять электронные письма

                    Имели доступ в Интернет, если это предусмотрено и разрешено политикой организации

                    Могли использовать другие сетевые технологии - сетевой принтер, факс

Целесообразность выделения под каждую из перечисленных задач отдельного компьютера или даже нескольких компьютеров целиком и полностью зависит от размера локальной сети, выполняемых функций и интенсивности трафика по каждому из направлений обмена информацией.

Большинство существующих сегодня в мире компьютерных сетей - это сети среднего масштаба, имеющие в своем составе один шлюз, который отвечает за связь с Интернет, один почтовый сервер, принимающий и пересылающий электронные письма, несколько сетевых серверов и десятки рабочих станций. На рисунке 1. изображена упрощенная схема такой типовой локальной сети.

Рис1.  Типовая локальная компьютерная сеть

Каждый элемент локальной компьютерной сети можно охарактеризовать списком доступных для него способов обмена информацией и в соответствии с этими данными разделить все компьютеры на такие сегменты:

                    Рабочие станции и сетевые сервера - обмен файлами по сети и с помощью мобильных носителей

                    Почтовые сервера - прием и отправка электронных писем, иногда обмен файлами по сети и с помощью мобильных носителей

                    Шлюз - организация обмена файлов между компьютерами локальной сети и более глобальной сетью, например Интернет. Дополнительно возможен обмен файлами по сети и с помощью мобильных носителей

Естественно, рабочие станции также могут принимать электронную почту, однако фактически они ее копируют либо с почтового сервера, либо со шлюза1) , что можно приравнять к внутрисетевому обмену данными.

Мобильные носители в явном виде здесь не рассматриваются, поскольку они предназначены как для работы в подключенном к сети состоянии, так и в автономном режиме. С этой точки зрения их можно рассматривать как рабочие станции, которые особо интенсивно обмениваются данными с внешними источниками при помощи не внутрисетевых технологий связи.

Уровни антивирусной защиты

Для инфицирования системы вирусом необходимо наличие каналов связи с другими компьютерами. Причем чем их больше и чем менее они защищены, тем выше вероятность заражения. Таким образом, архитектура системы антивирусной защиты сильно зависит от функции рассматриваемого компьютера, а именно от присутствующих у него каналов связи с окружающим миром. Поскольку именно по этим характеристикам выше было введено разделение сети на сегменты, то удобно выделить и соответствующие уровни антивирусной защиты:

                    Уровень защиты рабочих станций и сетевых серверов

                    Уровень защиты почтовых серверов

                    Уровень защиты шлюзов

В этой классификации на каждый почтовый сервер могут быть установлены одновременно программы, реализующие уровень защиты рабочих станций и сетевых серверов и программы, относящиеся к уровню защиты почтовых серверов1) . Аналогично дело обстоит и со шлюзами - программное обеспечение уровня рабочих станций и сетевых серверов и уровня защиты шлюзов.

Централизованное управление антивирусной защитой

Как уже упоминалось выше, для локальной сети, насчитывающей десятки или больше компьютеров, использование системы удаленного централизованного управления антивирусной защитой оказывается очень полезным. Она позволяет администратору не вставая из-за своего рабочего места обслуживать все входящие в его ведение рабочие станции и сетевые сервера: удаленно настраивать политики антивирусной безопасности, запускать проверку объектов на наличие в них вирусов, включать или выключать постоянную защиту, централизованно обновлять антивирусные базы, разрешать или запрещать пользователям самим менять какие-либо настройки, в том числе позволять или не позволять им видеть, что на компьютере вообще установлен и работает антивирус. Однако главное преимущество использования такой системы - это возможность тотального контроля за вирусной активностью и состоянием антивирусной защиты в сети, быстрого обнаружения и оперативного устранения всех вирусных инцидентов

Лекция №12. Уровень защиты рабочих станций и сетевых серверов, защиты почты, шлюзов.

Уровень защиты рабочих станций и сетевых серверов - самый обширный. Он охватывает все компьютеры локальной сети и служит самым последним оплотом на пути проникновения вредоносных программ. Даже если где-то в системе антивирусной защиты случился прокол и одна машина все же оказалась заражена, установленные на остальных компьютерах антивирусные программы должны предотвратить дальнейшее распространение эпидемии по сети. На этом уровне используются антивирусные комплексы для защиты рабочих станций и сетевых серверов.

Защита рабочих станций и сетевых серверов ответственна в первую очередь за чистоту файловой системы каждого из компьютеров сети. Следовательно, она в обязательном порядке должна содержать постоянную проверку как механизм предотвращения заражения системы вирусами, проверку по требованию - процедуру для тщательной ревизии рассматриваемой машины и нейтрализации проникших на нее вредоносных программ, и модуль для поддержания вирусных сигнатур в актуальном состоянии. Дополнительно, для рабочих станций накладывается требование к наличию процедур проверки почтовых сообщений.

Рассматриваемые здесь рабочие станции в разрезе антивирусной защиты отличаются от домашних компьютеров в первую очередь политикой антивирусной безопасности, принятой в организации, которой принадлежит сеть, и обязательной для соблюдения всеми пользователями. Обычной практикой служит введение отдельной должности системного администратора, который обязан следить за состоянием компьютерной техники. При этом остальные пользователи часто не имеют прав на доступ к ряду критических для функционирования сети программ, пусть даже установленных на их компьютере. Программное обеспечение, ответственное за антивирусную безопасность, относится именно к таким.

Наличие десятков, сотен, а иногда и тысяч компьютеров, объединенных в одну локальную сеть требует немалых затрат для администрирования каждого из них. Для того чтобы это было по силам сделать сравнительно малочисленной группе администраторов, применяются различные специальные программы и утилиты для централизованного удаленного управления. С их помощью администратор может не вставая из-за своего компьютера одновременно управлять и настраивать программы на удаленных компьютерах и подчиненных ему других элементах сети.

Следовательно, к антивирусному комплексу для защиты рабочих станций и сетевых серверов предъявляется дополнительное требование - наличие в его составе программного средства для удаленного централизованного управления локальными приложениями

Уровень защиты почты

Защита почты - это вторая ступень в антивирусной защите сети. Она служит для уменьшения нагрузки и увеличения надежности системы защиты рабочих станций и сетевых серверов. Дополнительно антивирусная проверка почты, а именно исходящей корреспонденции, в случае одиночного вирусного инцидента внутри сети послужит преградой для распространения этого вируса на другие, внешние, компьютеры. В системе защиты этого уровня используется комплекс для защиты почтовых систем.

В общем случае почтовым сервером называется компьютер, на котором установлена и успешно функционирует программа по обработке почты. Почтовый сервер относится к серверной группе, а не к рабочим станциям. Это объясняется тем, что его главное предназначение состоит в обеспечении работы почтовой системы, а не в решении локальных прикладных задач. Таким образом, почтовый сервер фактически представляет собой хранилище информации (электронных писем) для других сетевых пользователей.

Почтовая программа или агент пересылки сообщений2) осуществляет передачу электронных писем от одного компьютера к другому. Обычно это происходит в такой последовательности: компьютер отправителя, который находится во внутренней сети, связывается с почтовой программой на сервере и пересылает ей письмо. Далее почтовый сервер выделяет из письма адрес получателя и производит дальнейшее перенаправление - в Интернет или обратно в локальную сеть другому пользователю из нее. Аналогично происходит и обратная пересылка: на сервер приходит извне письмо, адресованное пользователю, имеющему на нем почтовый ящик. После этого через свой почтовый агент пользователь уведомляется, что у него в ящике появилось новое сообщение. Если он захочет его получить, то почтовый агент связывается с сервером и копирует файлы письма на машину пользователя. Таким образом, на сервере образуется очередь из еще не отосланных и еще неполученных писем, а также полностью или частично хранится входящая корреспонденция.

Следовательно, антивирусная проверка должна включать в себя как проверку всех проходящих через почтовую программу потоков, так и хранилища электронных писем.

Поэтому антивирусный комплекс для защиты почты должен содержать:

                    Антивирусную проверку в режиме реального времени проходящей через почтовую систему корреспонденции

                    Антивирусную проверку в режиме реального времени файлов, запрашиваемых пользователями из своих почтовых ящиков

                    Антивирусную проверку по требованию для хранимых на сервере файлов почтового формата, а именно информации в ящиках пользователей

                    Средство для обновления антивирусных баз

Уровень защиты шлюзов

В большинстве случаев антивирусная защита на уровне шлюза играет вспомогательную роль в общей системе антивирусной безопасности сети. Это происходит потому, что задача такого антивирусного комплекса - только проверка поступающей извне информации на наличие в ней вредоносных программ. Однако даже если вирус проникнет сквозь шлюз, заразить ни один компьютер ему не удастся: его перехватит антивирус на локальной машине, а в случае инфицированного почтового сообщения - он будет остановлен еще на почтовом сервере.

Однако такой сценарий реализуется только при исправно и бесперебойно работающей системе антивирусной защиты сети, в частности на уровне защиты рабочих станций и сетевых серверов. На практике же часто встречаются сбои. Причем чем больше локальная сеть, тем больше вероятность, что такой инцидент может случиться. Несмотря на то, что распределенная система защиты рабочих станций и сетевых серверов не даст в любом случае такому вирусу распространиться далее по сети и он будет локализован на одной инфицированной машине, это все равно не очень хорошо, потому что на ней тоже могут храниться очень важные документы и при отсутствии защиты шлюза вирус сможет, например, произвести несанкционированную рассылку или позволить злоумышленнику похитить конфиденциальную информацию.

Поэтому антивирусная защита шлюза позволяет существенно увеличить надежность антивирусной защиты в целом.

Дополнительно, в случае вирусной эпидемии в Интернет, именно система защиты шлюза прореагирует и уведомит администратора первой, что позволит ему оперативно принять меры по повышению уровня защиты, например, провести срочное внеочередное обновление антивирусных баз или даже отключить отдельные особо важные или секретные компьютеры от сети.

По определению шлюз - это компьютер с установленной программой, реализующий механизм передачи данных от одной сети к другой. Обычно под этим подразумевается переход локальная сеть - сеть Интернет и все за редким обоснованным исключением компьютеры сети связываются с Интернет только через шлюз.

Основной функционал шлюза состоит в передаче запросов от одного сегмента, в другой. Например, если внутреннему пользователю нужно загрузить информацию с внешнего веб-сайта, он направляет соответствующий запрос на шлюз, который на основе этих данных запрашивает удаленный веб-сервер, получает с него требуемую информацию и передает ее пользователю. Шлюз также может работать и в обратном направлении - когда веб-сайт находится внутри локальной сети, а запрос идет от внешнего пользователя. В случае корпоративной электронной почты в роли пользователя выступает почтовый сервер.

Аналогично защите почты, на уровне защиты шлюза используется антивирусный комплекс для защиты шлюзов. Он отвечает только за проверку проходящих через него данных, а за чистоту файловой системы ответственен комплекс по защите сетевых серверов. Поэтому программный комплекс для защиты шлюзов должен содержать только фильтры для проходящих через него потоков. Обычно это HTTP3) , FTP4) и SMTP5) .

Лекция № 13.  Антивирусная программа NOD32.

Знаменитый антивирус от ранее малоизвестной словацкой компании ESET за последнее время не только приобрел заслуженную популярность в мире, но и наконец-то обзавелся легким и интуитивным интерфейсом. Обилие вкладок и нелогичный внешний вид предыдущей версии программы не ругал разве что ленивый, теперь же мы можем смело утверждать – NOD32 не только самый мощный антивирус, но еще и самый удобный. И отменные результаты продукта ESET в престижных тестах Virus Bulletin и AV-Comparatives – отличное тому подтверждение. Разработчики Outpost Antivirus и Kaspersky Antivirus могут долго критиковать NOD32 за неидеальную проактивную защиту, но факт остается фактом: по данным исследований аналитиков, именно NOD32 на пару с Avira AntiVir делит почетное первое место среди антивирусов, оставляя всех остальных конкурентов далеко позади. Столь же теплых отзывов заслуживает и минимальная ресурсоемкость программы – даже во время активной работы сканера NOD32 никак не влияет на общую производительность современных компьютеров. Более того, утилита успешно функционировала и на таком старом ПК, как Р2-400/256 МБ ОЗУ, прекрасно ужившись на нем и с µTorrent, и UltraVNC. Ни один из аналогов не может предложить ничего подобного!